[보안맨] 침해사고 대응훈련

안녕하세요,

정보 보안의 3대 요소는, 기밀성, 무결성, 가용성입니다. 3대 요소 모두 비즈니스에 직결되는 중요한 요소이지만, 회사 측면에서 중요한 한 가지를 굳이 뽑자면, '가용성'을 생각하실 것 같습니다. 유무형의 고객 서비스와 직결되며, 이를 위해 DBMS, 서버, 네트워크 회선 등을 이중화 하는 등 전폭적인 IT 투자를 하는 곳도 많습니다. 이때, 단 한차례 외부 (또는 내부) 해킹 공격으로 인해 대 고객 서버가 중단된다면 어떻게 될까요? 회사는 직/간접적으로 큰 손실을 입을 것입니다. - 실제 '나XX'라는 업체의 경우, 랜섬웨어 공격으로 인해 약 13억 원의 손실을 입었고, 대외 이미지 측면 큰 어려움을 겪었습니다.

침해 사고가 일어나지 않을 것이라고 단언할 수 없기 때문에, 회사에서는 사이버 보증 보험을 통해 위험을 전가하거나, 보안 시스템 구축, 침해 사고 예방 훈련 등 다각적인 보안 대책을 마련합니다.

본 기고글에서는 위 보안 대책 중, "침해 사고 대응 훈련"에 대해 살펴보도록 하겠습니다. 특별히 '악성코드 메일' 대응훈련'에 대해 3가지 steps으로 다루고자 합니다.

● 계획 수립 / 환경 설정 / 테스트

필자는 아래와 같은 목차를 고려해 계획서를 작성했습니다.

- 훈련 개요 및 목적

※ 관련 법적/사내 규정 또는 회사 보안 환경 등 고려

※ 금융권의 경우 침해 사고 관련 전자금융 감독규정 하위 조항 명시

- 훈련 대상

- 훈련 일시 및 장소

- 훈련 단계

- 기대 효과

- 훈련 시나리오

- 훈련 평가 기준 및 등급

Figure 1. 침해사고 대응 훈련 계획서 (예)

최대한 실전과 같은 훈련 시나리오를 제공하기 위해 계획서 작성에 심혈을 기울였습니다. 당시 '코로나'로 인한 정부 재난 지원금 수급 관련 템플릿을 기획했던 기억이 있습니다. - 훈련을 실제 그럴듯한 악성코드 메일 형태로 할 것인지, 아니면 비즈니스 부서의 반발 등을 고려해 형식적인 수준의 훈련을 할 것인지는 '정보보호 최고 책임자 (CISO)' 또는 경영진의 의지가 중요한 것 같습니다.

훈련 준비 및 계획 수립 당시, 외부 전문 업체를 통해 악성코드 메일 발송 환경을 구성해야 했습니다. 내부 메일 서버 설정, IP/포트 정보 설정, 외부 스팸 훈련 솔루션 내 환경 설정 등 은 일정 내 잘 준비되었으나, 테스트 단계에서 계속 스팸메일로 분류되는 이슈가 있었습니다. 당시 필자 회사 메일 주소는 본사의 메일 서버 하위 도메인에 속해있었고, 본사 네트워크 구조 상 본사 메일 서버 상단의 스팸 솔루션으로 인해 차단되는 현상이었습니다. 관련 환경을 인지하고 있지 못해 준비 과정 중 많은 어려움이 있었지만, 본사 담당자에게 신속한 whitelist 예외 처리 요청 등을 통해, 계획된 기간 내 악성 훈련메일 테스트를 완료할 수 있었습니다.

● CISO 보고 / 모의 훈련 시행

계획서, 테스트 결과 등을 바탕으로 CISO (정보보호 최고 책임자)에게 모의 훈련 준비 결과를 보고 했습니다. 모의 훈련 세부 시행 날짜는 최소한의 담당자만 알도록 하고, 절대 기밀을 유지했습니다. 만일, 의도적 혹은 비의도적으로 회사 다른 인원에게 알려지게 되면 훈련 효과성이 매우 떨어지기 때문입니다.

최종 모의 훈련일에 임직원에게 일괄 발송하여, 위 훈련 평가 기준에 따른 임직원의 반응 (신고 여부 등), 악성 링크 클릭 여부 등을 체크했습니다.

사실 본 훈련의 목적 중 하나는 '임직원의 초동 신고'입니다. 임직원의 철저한 보안의식을 바탕으로 사전 예방 형태의 100% 안전한 환경을 유지하는 게 이상적이지만, 혹여 1명의 PC가 감염되었을  경우, 악성코드(e.g. 바이러스, 랜섬웨어 등) 확산 형태에 따라, 제2차, 3차 PC 감염으로 이어질 수 있기 때문입니다. 이전 훈련 당시 보안팀으로의 신고 접수율이 많이 낮았던 기억이 있는데, 보안 담당자 입장에서 씁쓸함과 동시에, 지속적으로 인지할 수 있는 보안 인식 프로그램에 대해 좀 더 고민해 보는 시간이었습니다.

● 미흡 인원 보안 교육 / 경영진 보고

0명의 인원이 나왔으면 좋겠지만, 부서별 1~2명의 인원이 호기심 등의 이유로 악성 링크를 클릭했었습니다. 따라서, 추후 동일한 행위가 반복되지 않도록, 보안 인식이 다소 떨어지는 위 인원을 대상으로 집체 교육을 실시했습니다. 당시 '악성코드 메일 훈련'의 결과 여부가 개개인의 인사평가에 반영됨을 상기시킴과 동시에, 모르는 발신자 메일 주소, 또는 파일 확장자 등 주의해야 할 스팸메일 상식에 대해 각인시키는 교육을 진행했습니다. - 위 '나XX' 기업을 포함한 여러 해킹 피해 사례를 공유해 임직원 한 사람의 행동이 회사 전체에 영향을 미칠 수 있다는 점을 강조했습니다.

Figure 2. 침해 사고 대응훈련 후속 교육 자료 (예)

경영진에게는 최대한 숫자, 핵심 문구를 바탕으로 간결히 보고 했습니다. 경영진의 경우, 작년 훈련 미흡 인원수 대비 올해 개선이 된 부분이 있었는지 많은 관심이 있었습니다. 입/퇴사자 등이 존재하므로 100% 비교는 어려웠지만, 최대한 현 인원 기준 수치 및 개선해야 할 항목 (e.g. 시나리오 다각화, 사전 예방 교육 주기적 실시 등) 을 적절히 설명했습니다.